Die Meldung weist meist darauf hin, dass im UEFI-Firmware-Setup veraltete Schlüssel, eine alte Secure-Boot-Konfiguration oder ein BIOS-Stand mit fehlenden Aktualisierungen aktiv ist. In vielen Fällen steckt kein echter Defekt dahinter, sondern eine Kombination aus Firmware-Einstellungen, rückgesetzten Schlüsseln oder einem Windows-Update, das strengere Prüfungen anstößt.
Wichtig ist zuerst die Einordnung: Secure Boot schützt den Startvorgang des Systems, indem nur vertrauenswürdige Boot-Komponenten geladen werden. Wird dabei ein veralteter Zustand gemeldet, dann betrifft das oft nicht Windows selbst, sondern die Firmware des Mainboards oder des Notebooks.
Was die Meldung in der Praxis bedeutet
Der Hinweis erscheint häufig nach einem BIOS-Update, nach einem CMOS-Reset, nach Änderungen im UEFI-Modus oder nach einer Neuinstallation. Auch Systeme, die längere Zeit mit alten Plattformschlüsseln liefen, können plötzlich auffallen, sobald Windows die Sicherheitslage genauer prüft.
Typische Auslöser sind:
- ein altes UEFI/BIOS mit älteren Secure-Boot-Schlüsseln
- deaktivierter oder auf Standardwerte zurückgesetzter Secure-Boot-Status
- CSM- oder Legacy-Startoptionen statt reinem UEFI-Modus
- fehlerhafte Einträge im TPM- oder Firmware-Status
- ein Firmware-Update, das neue Schlüssel erwartet
Den aktuellen Zustand im System prüfen
Bevor etwas geändert wird, lohnt ein kurzer Blick auf den Ist-Zustand. So lässt sich später leichter erkennen, welcher Schritt die Meldung ausgelöst oder beseitigt hat.
- Drücken Sie Windows-Taste und R.
- Geben Sie msinfo32 ein und bestätigen Sie mit Enter.
- Prüfen Sie die Einträge Sicherer Startzustand und BIOS-Modus.
- Der BIOS-Modus sollte auf UEFI stehen.
- Der sichere Startzustand sollte aktiv sein.
Steht dort stattdessen Legacy oder ist der sichere Startzustand deaktiviert, ist die Firmware-Konfiguration die erste Baustelle.
UEFI und Secure Boot korrekt einrichten
Die zuverlässigste Lösung besteht darin, die Firmware sauber auf UEFI und Secure Boot auszurichten. Die Bezeichnungen können je nach Hersteller leicht abweichen, die Reihenfolge bleibt aber ähnlich.
- Starten Sie den Rechner neu und öffnen Sie das UEFI-Setup mit der vorgesehenen Taste, meist Entf, F2, F10 oder Esc.
- Wechseln Sie in den erweiterten Modus, falls nur eine einfache Oberfläche angezeigt wird.
- Suchen Sie nach den Bereichen Boot, Security oder Authentication.
- Deaktivieren Sie CSM oder Legacy Boot, falls diese Option aktiv ist.
- Stellen Sie Secure Boot auf Enabled.
- Wählen Sie, sofern vorhanden, Standard, Windows UEFI Mode oder eine ähnliche Windows-orientierte Voreinstellung.
- Speichern Sie die Änderungen und starten Sie neu.
Nach dem Neustart lohnt der Blick in msinfo32. Dort sollte der sichere Startzustand nun als aktiv angezeigt werden.
Veraltete Schlüssel neu laden
Manche Geräte melden den alten Zustand, obwohl Secure Boot eigentlich eingeschaltet ist. Dann fehlen häufig die aktuellen Standard-Schlüssel im UEFI. In diesem Fall hilft das erneute Laden der Werkseinstellungen für die Secure-Boot-Schlüssel.
Im UEFI finden Sie dafür oft eine Funktion wie Install Default Secure Boot Keys, Restore Factory Keys oder Load Default Keys. Gehen Sie dabei sorgfältig vor:
- Öffnen Sie den Secure-Boot-Bereich im UEFI.
- Suchen Sie nach der Schlüsselverwaltung.
- Laden Sie die Standard- oder Werksschlüssel neu.
- Bestätigen Sie die Aktion.
- Speichern Sie die Einstellungen und starten Sie das Gerät erneut.
Dieser Schritt ist besonders sinnvoll, wenn die Meldung nach einem BIOS-Reset oder einem Firmware-Update auftritt.
BIOS oder UEFI aktualisieren
Ein veralteter Firmware-Stand ist eine häufige Ursache, besonders bei älteren Geräten oder nach größeren Windows-Updates. Hersteller korrigieren in BIOS-Updates oft die Verwaltung der Secure-Boot-Schlüssel oder verbessern die Kompatibilität mit aktuellen Windows-Versionen.
So gehen Sie sinnvoll vor:
- Rufen Sie die Support-Seite des Geräte- oder Mainboard-Herstellers auf.
- Laden Sie exakt die passende Firmware für Ihr Modell herunter.
- Lesen Sie die Update-Hinweise sorgfältig.
- Schließen Sie das Gerät an das Netzteil an.
- Führen Sie das Update nur mit stabiler Stromversorgung aus.
Nach dem Firmware-Update kann es nötig sein, Secure Boot und UEFI erneut zu kontrollieren, weil manche Hersteller die Optionen auf Werkseinstellungen zurücksetzen.
TPM und Windows-Integrität mitprüfen
Secure Boot arbeitet eng mit weiteren Sicherheitsfunktionen zusammen. Deshalb lohnt ein kurzer Abgleich mit TPM und Systemintegrität, vor allem wenn mehrere Sicherheitsmeldungen gleichzeitig erscheinen.
Öffnen Sie dazu die Windows-Sicherheit und prüfen Sie:
- Gerätesicherheit für TPM-Status und Sicherheitsprozessor
- Kernisolierung für Speicherintegrität
- Geräteleistung und -zustand für weitere Hinweise
Im Geräte-Manager sollte unter Sicherheitsgeräte ein funktionsfähiges TPM erscheinen. Fehlt es vollständig oder meldet Fehler, kann ein Firmware- oder Plattformproblem vorliegen, das unabhängig von Secure Boot behoben werden muss.
Startdatenträger und Partitionierung prüfen
Ist Windows im Legacy-Modus installiert oder liegt die Systemplatte im falschen Partitionsstil vor, lässt sich Secure Boot nicht sauber aktivieren. Dann muss die Installation meist auf UEFI mit GPT ausgerichtet werden.
Ein schneller Check gelingt in der Datenträgerverwaltung oder über die Eingabeaufforderung. Entscheidend ist, ob die Systemplatte als GPT eingerichtet ist. Bei MBR-Installationen ist häufig eine Umstellung nötig, bevor Secure Boot sinnvoll genutzt werden kann.
Für ein bestehendes System bietet sich je nach Ausgangslage die Umstellung mit dem Microsoft-Tool mbr2gpt an. Dabei gilt:
- Vorher ein vollständiges Backup anlegen.
- Nur bei einem kompatiblen Windows-Installationsstand einsetzen.
- Nach der Umstellung im UEFI den reinen UEFI-Modus aktivieren.
- Danach Secure Boot neu einschalten.
Hinweise nach einem Windows-Update
Manchmal taucht die Meldung erst nach einem Funktionsupdate oder Sicherheitsupdate auf. Dann wurde meist kein Fehler erzeugt, sondern eine bisher tolerierte Konfiguration fällt nun auf. In solchen Fällen hilft die Kombination aus Firmware-Prüfung, Schlüssel-Reset und aktuellem BIOS oft am schnellsten.
Zusätzlich kann es sinnvoll sein, die Systemdateien zu prüfen. Mit einer administrativen Eingabeaufforderung lassen sich diese Befehle ausführen:
- sfc /scannow
- dism /online /cleanup-image /restorehealth
Diese Schritte beheben keine UEFI-Fehlkonfiguration, sorgen aber dafür, dass Windows selbst sauber arbeitet und keine Zusatzfehler in die Meldung einfließen.
Wenn das Gerät danach weiter meckert
Bleibt der Hinweis trotz aktivem Secure Boot bestehen, lohnt ein genauer Blick auf die Firmware-Oberfläche. Manche Hersteller zeigen Secure Boot zwar als aktiv an, speichern aber noch einen manuellen Modus, der nicht mit den Windows-Anforderungen übereinstimmt. Auch eine falsche Schlüsselbasis oder eine teilweise zurückgesetzte Konfiguration kann den Status verfälschen.
Dann helfen meist diese Reihenfolgen:
- UEFI aufrufen.
- Secure Boot vollständig deaktivieren.
- Änderungen speichern und neu starten.
- Erneut ins UEFI gehen.
- Secure Boot wieder aktivieren.
- Standard-Schlüssel laden.
- Abspeichern und Windows starten.
Diese Sequenz setzt manche Firmware sauber zurück und beseitigt inkonsistente Zustände, die sich über normale Schalter nicht immer auflösen.
Zum Schluss sollte der Sicherheitsstatus noch einmal in Windows überprüft werden. So lässt sich feststellen, ob die Firmware die Änderungen übernommen hat und der Startschutz nun ohne Warnung arbeitet.
Warum die Meldung auch nach korrekter Aktivierung auftauchen kann
Die Hinweise rund um Secure Boot beziehen sich nicht nur auf den Schalter im UEFI, sondern auf das Zusammenspiel aus Firmware, Schlüsselverwaltung, Startloader und Datenträgerstruktur. Deshalb reicht es oft nicht, die Funktion einfach einzuschalten. Entscheidend ist, dass das System im reinen UEFI-Modus startet, die erwarteten Signaturschlüssel vorhanden sind und Windows den Startpfad ohne Altlasten erkennt.
Besonders häufig entsteht der Hinweis nach Änderungen an der Hardware, nach einem Firmware-Update oder nach einem Wechsel von Legacy- zu UEFI-Start. Auch ein CMOS-Reset, eine leere Pufferbatterie auf dem Mainboard oder ein geändertes Boot-Menü können dazu führen, dass frühere Einstellungen nicht mehr vollständig übernommen werden. Dann meldet Windows zwar einen unsauberen Zustand, obwohl das Starten im Alltag zunächst weiterhin funktioniert.
Hilfreich ist deshalb ein systematischer Blick auf drei Ebenen: Firmware-Einstellungen, Startkonfiguration in Windows und die Signaturkette des Bootvorgangs. Erst wenn alle drei zusammenpassen, verschwindet die Warnung dauerhaft.
Firmware sauber neu ausrichten
Im UEFI sollte nicht nur Secure Boot aktiviert sein, sondern auch der passende Modus für die Schlüsselverwaltung gewählt werden. Viele Mainboards bieten eine Auswahl zwischen vorinstallierten Standardwerten, herstellerspezifischen Profilen und der manuellen Verwaltung von Schlüsseln. Für normale Windows-Installationen ist der Standardpfad mit geladenen Werkschlüsseln meist die richtige Wahl.
Nach Änderungen im UEFI lohnt sich ein Blick auf folgende Punkte:
- Bootmodus auf UEFI statt Legacy oder CSM stellen.
- Secure Boot aktivieren und, falls vorhanden, auf den Standard- oder Windows-Modus setzen.
- Werksschlüssel für Secure Boot laden, falls die Schlüsselbank leer oder abweichend ist.
- Fast Boot vorübergehend deaktivieren, damit die Firmware Änderungen vollständig übernimmt.
- Änderungen speichern und den Rechner vollständig neu starten, nicht nur neu anstoßen.
Manche Systeme behalten alte Einträge trotz aktivierter Funktion im Hintergrund. Dann hilft es, die Secure-Boot-Option einmal zu deaktivieren, die Werkseinstellungen für die Schlüssel zu laden und anschließend wieder zu aktivieren. Dadurch wird die Vertrauenskette meist neu aufgebaut.
Worauf bei Herstellermenüs zu achten ist
Die Bezeichnungen unterscheiden sich je nach Mainboard oder Notebook deutlich. Häufig sind Begriffe wie OS Type, Windows UEFI Mode, Key Management, Default Keys oder Secure Boot Mode zu sehen. Wichtig ist nicht der Name, sondern die Funktion dahinter. Sobald ein Menü auf benutzerdefinierte Schlüssel, Setup Mode oder andere Betriebssysteme verweist, sollte geprüft werden, ob dort versehentlich ein abweichendes Profil aktiv ist.
Bei Geräten mit Herstelleroberflächen kann zusätzlich eine Schaltfläche für das Laden der Standard-Schlüssel vorhanden sein. Diese Option ist dann meist der sauberste Weg, weil sie die von Windows erwartete Signaturbasis wiederherstellt.
Windows-Start und Datenträgerstruktur absichern
Selbst mit korrekt gesetzter Firmware bleibt die Warnung bestehen, wenn die Startpartition oder der Bootmanager nicht zum UEFI-Modus passen. Das ist besonders relevant nach einem älteren Windows-Setup, nach Klonvorgängen oder nach einer Installation, die ursprünglich im BIOS/Legacy-Modus erfolgte. In solchen Fällen erkennt Windows, dass Secure Boot nicht auf einer passenden Startumgebung aufsetzt.
Prüfen Sie in der Datenträgerverwaltung oder mit Systemtools, ob die Systemfestplatte als GPT-Datenträger eingerichtet ist. Für Secure Boot ist das der normale Zielzustand. Steht die Systemplatte noch auf MBR, muss der Startpfad häufig umgestellt werden. Auf einem laufenden System lässt sich das in vielen Fällen ohne Neuinstallation vorbereiten, sofern die Partitionierung und der Bootloader sauber angepasst werden.
Typische Arbeitsschritte sind dabei:
- Vorhandene Sicherung anlegen, bevor an der Startstruktur gearbeitet wird.
- Prüfen, ob Windows bereits im UEFI-Modus gestartet wurde.
- Den Datenträgerstatus auf GPT kontrollieren.
- Den EFI-Startbereich und den Windows-Startmanager auf Konsistenz prüfen.
- Nach der Anpassung den Rechner über den UEFI-Boot-Eintrag starten.
Falls mehrere Laufwerke eingebaut sind, sollte außerdem sichergestellt sein, dass der Rechner wirklich von der Windows-Systemplatte startet. Ein zweites Laufwerk mit altem Bootmanager kann die Erkennung beeinflussen und die Meldung wieder auslösen.
Überprüfen, was im Hintergrund mitgeladen wird
Auch zusätzliche Startkomponenten können den Zustand beeinflussen. Dazu gehören etwa alternative Bootloader, ältere Linux-Reste, verschlüsselte Laufwerkslösungen oder Hersteller-Tools, die in die Startphase eingreifen. Solche Komponenten sind nicht grundsätzlich problematisch, sie müssen jedoch mit Secure Boot kompatibel sein. Andernfalls interpretiert Windows den Vertrauenspfad als unvollständig.
Ein sauberer Test besteht darin, störende Zusatzsoftware vorübergehend zu deaktivieren oder testweise zu entfernen, sofern sie nicht zwingend benötigt wird. Besonders relevant sind Programme, die eigene Bootumgebungen installieren oder den Startvorgang verändern. Nach einem erneuten Neustart lässt sich dann erkennen, ob die Meldung auf eine Fremdkomponente zurückgeht.
Auch BitLocker oder andere Laufwerksverschlüsselungen können eine Rolle spielen, weil sie auf Firmware- und Bootänderungen sensibel reagieren. Vor Eingriffen am UEFI sollte daher geprüft werden, ob der Wiederherstellungsschlüssel bekannt ist und ob das Laufwerk nach der Änderung normal entsperrt wird. So lassen sich Folgeprobleme vermeiden.
Prüfpunkte in Windows und im Systemumfeld
- Systemstartverwaltung auf fremde Boot-Einträge kontrollieren.
- Verschlüsselungsprogramme und Sicherheitssoftware auf Bootintegration prüfen.
- Alte Linux- oder Recovery-Einträge im Startmenü entfernen, falls sie nicht mehr gebraucht werden.
- BitLocker-Schutz vor Firmware-Arbeiten aussetzen und danach wieder aktivieren.
- Nach jeder Änderung einen vollständigen Neustart durchführen und nicht nur den Schnellstart nutzen.
Wenn die Meldung bleibt, obwohl alles passend aussieht
Bleibt der Hinweis trotz richtiger Einstellungen erhalten, liegt die Ursache oft in einer inkonsistenten Firmware-Konfiguration. Dann lohnt ein gezielter Reset einzelner Sicherheits- und Startparameter, ohne gleich das ganze System neu aufzusetzen. In vielen UEFI-Menüs ist das Zurücksetzen nur der Secure-Boot-Schlüssel oder nur der Boot-Optionen möglich. Das ist meist der bessere Weg als ein kompletter Werksreset des Mainboards.
Hilfreich ist außerdem, die genaue Reihenfolge der Änderungen einzuhalten. Erst den UEFI-Modus bestätigen, dann die Standardschlüssel laden, anschließend Secure Boot aktivieren und zum Schluss Windows normal starten. Wird die Reihenfolge vertauscht, übernimmt die Firmware manche Werte erst nach einem weiteren Kaltstart.
Bei Desktop-PCs sollte zusätzlich die CMOS-Batterie geprüft werden, wenn das Datum, die Uhrzeit oder Bootwerte nach dem Ausschalten wieder verloren gehen. Eine schwache Batterie kann dazu führen, dass Secure Boot scheinbar gesetzt ist, die Firmware aber nach jedem Trennen vom Strom wieder in einen anderen Zustand fällt. Auf Notebooks kann ein Firmware-Update des Herstellers dieselbe Wirkung haben, wenn es Sicherheitsprofile zurücksetzt.
Wer das System vollständig bereinigen möchte, sollte am Ende einen klaren Kontrolllauf durchführen: UEFI-Modus bestätigen, Secure-Boot-Status in Windows prüfen, Neustart über den normalen Windows-Startpfad ausführen und danach erneut auf die Meldung achten. So lässt sich erkennen, ob der Fehler wirklich beseitigt ist oder ob noch ein Startbaustein angepasst werden muss.
Häufige Fragen
Wie finde ich heraus, ob die UEFI-Firmware den aktuellen Sicherheitsstandard unterstützt?
Öffnen Sie im laufenden System die Systeminformationen und prüfen Sie dort, ob im Eintrag für den BIOS-Modus „UEFI“ steht. Danach lohnt ein Blick ins Firmware-Menü, weil manche Geräte Secure Boot zwar anbieten, aber erst nach einer passenden Umstellung vollständig aktivieren.
Warum erscheint der Hinweis trotz aktivem Secure Boot?
Die Meldung kann auftauchen, obwohl die Funktion eingeschaltet ist, etwa wenn alte Schlüssel hinterlegt sind oder die Firmware nach einem Update eine neue Signaturbasis erwartet. Auch ein zurückgesetztes UEFI-Profil oder eine ältere Mainboard-Version kann dazu führen, dass Windows den Zustand nicht als gültig einstuft.
Welche Einstellung ist im Firmware-Menü am wichtigsten?
Entscheidend ist, dass der Startmodus auf UEFI steht und kein Legacy- oder CSM-Modus mehr aktiv ist. Zusätzlich sollte Secure Boot auf „Enabled“ gesetzt sein und die Standard-Schlüssel geladen sein, damit das System die Prüfkette sauber aufbauen kann.
Was mache ich, wenn die Standard-Schlüssel fehlen?
Im UEFI gibt es meist einen Punkt wie „Install Default Keys“, „Load Factory Keys“ oder „Restore Factory Keys“. Nach dem Laden dieser Schlüssel speichert man die Änderungen, startet neu und prüft anschließend erneut, ob Windows die Funktion wieder als aktuell erkennt.
Kann ein Windows-Update den Hinweis auslösen?
Ja, nach Funktions- oder Sicherheitsupdates ändern sich mitunter die Anforderungen an Boot-Komponenten oder Zertifikate. In solchen Fällen hilft oft eine erneute Prüfung der Firmware-Einstellungen, weil das Update selbst nichts am UEFI geändert hat, aber eine ältere Konfiguration sichtbar macht.
Welche Rolle spielt die Systemplatte bei diesem Thema?
Die Windows-Installation sollte auf einer GPT-formatierten SSD oder Festplatte liegen, damit der UEFI-Start sauber funktioniert. Ist das Laufwerk noch im MBR-Format eingerichtet, passt die Boot-Struktur oft nicht zu Secure Boot, selbst wenn die Option im Firmware-Menü eingeschaltet ist.
Wie prüfe ich, ob TPM und Secure Boot zusammenarbeiten?
In der Sicherheitsübersicht von Windows lässt sich kontrollieren, ob das TPM bereit ist und ob der Gerätesicherheitsstatus als vollständig angezeigt wird. Beide Funktionen ergänzen sich, weil Windows 11 die Vertrauenskette aus TPM, UEFI und Startprüfung gemeinsam bewertet.
Muss ich das Mainboard-Firmware-Update sofort einspielen?
Nicht immer, aber bei älteren Geräten ist ein Update oft sinnvoll, wenn die bisherige Version Probleme mit Zertifikaten oder UEFI-Boot behebt. Vor dem Update sollte man die Herstellervorgaben genau lesen und nach dem Neustart die Sicherheitsoptionen erneut prüfen, da sich Einstellungen manchmal auf Werkseinstellungen zurücksetzen.
Was tun, wenn ein Wechsel zwischen mehreren Betriebssystemen eingerichtet ist?
Mehrfachstart-Systeme brauchen eine passende Boot-Reihenfolge und oft zusätzliche Einträge im UEFI-Bootmanager. Entscheidend ist, dass der Windows-Startpfad weiterhin über einen UEFI-Eintrag läuft und keine ältere Startmethode übernommen wird, weil sonst die Sicherheitsprüfung unvollständig bleibt.
Wie gehe ich vor, wenn das Problem nach allen Änderungen bestehen bleibt?
Dann hilft eine strukturierte Neuprüfung in dieser Reihenfolge: Firmware auf Standardwerte setzen, UEFI-Start sicherstellen, Schlüssel erneut laden, Datenträgerlayout kontrollieren und anschließend Windows-Startreparatur oder Systemprüfung ausführen. Falls der Rechner vom Hersteller ein spezielles Sicherheits- oder Verwaltungsprofil nutzt, sollte auch dort nach einer erzwungenen Vorgabe gesucht werden.
Fazit
Der Hinweis weist meist nicht auf einen Defekt hin, sondern auf eine nicht mehr passende Kombination aus Firmware, Schlüsseln, Startmodus und Datenträgerstruktur. Wer diese Punkte in der richtigen Reihenfolge prüft, bekommt die Konfiguration in den meisten Fällen wieder stabil zum Laufen. Danach sollte Windows den Sicherheitsstatus erneut sauber erkennen.
